2016信息安全管理与评估赛项样题

2016信息安全管理体系（ISMS）审核知识试卷 2016年6月1、单选题1、密码就是一种用于保护数据保密性的密码学技术、由（）方法及相应运行过程。

A、加密算法和密钥生成B、加密算法、解密算法、密钥生成C、解密算法、密钥生成D、加密算法、解密算法2、计算机安全保护等级的第三级是（）保护等级A、用户自主B、安全标记C、系统审计D、结构化3、隐蔽信道是指允许进程以（）系统安全策略的方式传输信息的通信信道A、补强B、有益C、保护D、危害4、5、6、ISMS关键成功因素之一是用于评价信息安全A、测量B、报告C、传递D、评价7、防止恶语和移动代码是保护软件和信息的（）A、完整性B、保密性C、可用性D、以上全部8、以下强健口令的是（）A、a8mom9y5fub33B、1234C、CnasD、Password9、开发、测试和（）设施应分离、以减少未授权访问或改变运行系统的风险A、系统B、终端C、配置D、运行10、设备、（）或软件在授权之前不应带出组织场所A、手机B、文件C、信息D、以上全部11、包含储存介质的设备的所有项目应进行核查，以确保在处置之前，（）和注册软件已被删除或安全地写覆盖A、系统软件B、游戏软件C、杀毒软件D、任何敏感信息12、雇员、承包方人员和（）的安全角色和职责应按照组织的信息安全方针定义并形成文件A、第一方人员B、第二方人员C、第三方人员D、IT经理13、对于任用的终止或变化时规定职责和义务在任用终止后仍然有效的内容应包含在（）合同中。

A、雇员B、承包方人员C、第三方人员D、A+B+C14、ISMS文件的多少和详细程度取决于（）A、组织的规模和活动的类型B、过程及其相互作用的复杂程度C、人员的能力D、A+B+C15、为确保信息资产的安全，设备、信息和软件在（）之前不应带出组织A、使用B、授权C、检查合格D、识别出薄弱环节16、对于所有拟定的纠正和预防措施，在实施前应先通过（）过程进行评审。

《信息安全管理与评估》模拟题（A卷）一、填充题1、在安装活动目录之前，要做如下必要工作：规划________________，规划________________和规划________________模式。

2、所谓防火墙指的是一个由设备组合而成、在之间、之间的界面上构造的保护屏障。

3、_____________与_____________的作用是“进不来”和“拿不走”，加密的作用是，即使拿走了也“__________”。

4、 Intranet是指与___________隔离开的一个较小的专用网络空间，是由企业、机构、城市甚至国家采用___________技术（包括TCP/IP、WWW技术等）而建立的一种___________、相对独立的专用网络。

5、路由器的动态路由协议分为______________________和______________________。

6、Microsoft 组策略管理控制台（GPMC）是针对组策略管理的最新解决方案，该控制台由一个新的Microsoft 管理控制台（MMC）管理单元和一组编写脚本的___________组成。

7、从备份介质进行活动目录恢复有两种方式可以选择：______________和______________。

8、 MIB（管理信息库）位于相应的Agent之上，存入_______________的网络信息。

9、电磁泄漏的防护技术共有3种：_____________、_____________和电磁干扰器。

二、单选题1、Visa和 MasterCard两大信用卡组织制定了（）协议，为网上信用卡支付提供了全球性的标准。

A、IPSecB、SSLC、SETD、HTTPD2、活动目录架构中包括了两种类型的定义，如下那个名称是不正确的（）：A、组对象B、属性C、分类D、元数据3、所有的被管理对象包含在管理信息库（MIB）中，MIB实际上就是一个有关对象的数据库。

信息安全管理员大赛模拟试题（含答案）一、单选题1. 信息安全等级保护工作直接作用的具体的信息和信息系统称为 [单选题] *A、客体B、客观方面C、等级保护对象(正确答案)D、系统服务2. 下面哪个安全评估机构为我国自己的计算机安全评估机构? [单选题] *CCTCSECCNISTECITSEC(正确答案)3. 信息系统安全等级保护实施的基本过程包括系统定级、（）、安全实施、安全运维、系统终止 [单选题] *风险评估安全规划(正确答案)安全加固安全应急4. 对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等，称为 [单选题] *客观方面(正确答案)等级保护对象系统服务5. 信息系统为支撑其所承载业务而提供的程序化过程，称为 [单选题] *客体客观方面等级保护对象系统服务(正确答案)6. 从业务信息安全角度反映的信息系统安全保护等级称 [单选题] *安全等级保护信息系统等级保护系统服务安全保护等级业务信息安全保护等级(正确答案)7. 从系统服务安全角度反映的信息系统安全保护等级称 [单选题] *安全等级保护信息系统等级保护系统服务安全保护等级(正确答案)业务信息安全保护等级8. 对公民、法人和其他组织的合法权益造成一般损害，定义为几级 [单选题] *第一级(正确答案)第三级第四级9. 对公民、法人和其他组织的合法权益造成特别严重损害，定义为几级 [单选题] *第一级第二级(正确答案)第三级第四级10. 二级信息系统保护要求的组合包括: S1A2G2，S2A2G2，（） [单选题] *S2A1G2(正确答案)S1A2G3S2A2G3S2A3G211. 基本要求的选择和使用中，定级结果为S3A2，保护类型应该是 [单选题] *S3A2G1S3A2G2S3A2G3(正确答案)S3A2G412. 每个级别的信息系统按照（）进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态 [单选题] *基本要求(正确答案)测评准则实施指南13. 下列选项中，不属于审核准备工作内容的是 [单选题] *编制审核计划加强安全意识教育(正确答案)收集并审核有关文件准备审核工作文件——编写检查表14. 在信息资产管理中，标准信息系统的因特网组件不包括 [单选题] *服务器网络设备（路由器、集线器、交换机）保护设备（防火墙、代理服务器）电源(正确答案)15. 在信息资产管理中，标准信息系统的组成部分不包括 [单选题] *硬件软件解决方案(正确答案)数据和信息16. 下列关于体系审核的描述中，错误的是 [单选题] *体系审核应对体系范围内所有安全领域进行全面系统地审核应由与被审核对象无直接责任的人员来实施组织机构要对审核过程本身进行安全控制对不符合项的纠正措施无须跟踪审查(正确答案)17. IATF将信息系统的信息保障技术层面划分为四个技术框架焦点域。

2016年江苏省高等职业院校技能大赛-信息安全评估赛项试题2016年江苏省高等职业院校技能大赛“信息安全管理与评估”赛项样题一、竞赛内容分布第一阶段：平台搭建与配置第二阶段：信息安全基础知识第三阶段：信息安全综合应用二、竞赛时间竞赛时间为3个小时三、竞赛注意事项1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置，选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。

2. 请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。

3. 操作过程中，需要及时保存设备配置。

比赛结束后，所有设备保持运行状态，不要拆动硬件连接。

4. 比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。

5. 裁判以各参赛队提交的竞赛结果文档为主要评分依据。

所有提交的文档必须按照赛题所规定的命名规则命名。

四、竞赛结果文件的提交按照题目要求，提交符合模板的WORD文件。

赛题基础信息你们是某公司的IT运维人员，负责维护公司网络系统安全。

任务是完成网络搭建、网络安全设备配置与防护、系统安全攻防任务，并提交所有文档留存备案，文档需要存放在“指定文件”中。

1、拓扑图2、IP地址规划表第一阶段：平台搭建与配置任务一：网络平台搭建提示：需要提交所有设备配置文件，其中DCRS设备要求提供show run配置文件保存到WORD文档，DCFW、DCFS、DCBI-netlog设备需要提交配置过程截图存入WORD文档，并在截图中加以说明。

每个设备提交的答案保存到一个WORD文档。

任务一的连通性测试答案添加在DCRS的文档中。

文档命名格式为：组号-网络拓扑中设备型号。

例：第一组DCFW设备答案提交文档的名称为：01-DCFW.doc 平台搭建要求如下：任务二：网络安全设备配置与防护提示：需要提交DCFW、DCFS、DCBI和ER400设备配置关键步骤截图，并将截图存入WORD文档，在截图中加以说明。

信息安全管理员大赛模拟试题(含答案)一、选择题（每题2分，共20分）1. 以下哪项不是信息安全的主要目标？A. 保密性B. 完整性C. 可用性D. 可靠性答案：D2. 信息安全中的“三要素”不包括以下哪项？A. 身份认证B. 访问控制C. 数据加密D. 信息审计答案：D3. 以下哪种加密算法是非对称加密算法？B. RSAC. AESD. 3DES答案：B4. 在网络攻击中，以下哪种攻击方式属于拒绝服务攻击（DoS）？A. SQL注入B. DDoSC. 木马D. 拒绝服务攻击（DoS）答案：D5. 以下哪个不是我国信息安全等级保护制度中的安全等级？A. 第一级B. 第二级C. 第三级D. 第五级6. 信息安全事件应急预案主要包括以下哪几个阶段？A. 预警、响应、处置、恢复B. 预警、响应、处置、总结C. 预警、响应、处置、评估D. 预警、响应、处置、改进答案：A7. 以下哪项不是我国《网络安全法》规定的信息安全防护措施？A. 安全防护技术措施B. 安全防护组织措施C. 安全防护管理制度D. 安全防护宣传教育答案：D8. 在以下哪种情况下，系统管理员无需向用户告知？A. 系统升级B. 系统维护C. 系统故障D. 用户密码泄露答案：D9. 以下哪项不是网络钓鱼攻击的主要手段？A. 发送虚假邮件B. 假冒官方网站C. 恶意软件D. 信息加密答案：D10. 信息安全管理员在处理信息安全事件时，以下哪个步骤不是必须的？A. 确认事件类型B. 确定事件级别C. 上报事件D. 自行处理事件答案：D二、填空题（每题2分，共20分）1. 信息安全主要包括________、________、________三个方面。

答案：保密性、完整性、可用性2. 常见的信息安全攻击手段有________、________、________。

答案：拒绝服务攻击（DoS）、网络钓鱼、SQL注入3. 信息安全等级保护制度中的安全等级分为________、________、________、________、________五个等级。

“信息安全管理与评估”测试题十四一、注意事项1、选手在规定时间内完成网络搭建和网络设备的配置与安全攻防的配置。

竞赛时间终止时刻，选手应停止一切操作，并起立离开操作台。

裁判员收集配置结果后，参赛队员签字予以确认。

2、正确保存所有参赛用设备的配置文件，配置文件为startup-config文件，并不是根据show running命令输出的结果，startup-config文件没有后缀名，需要通过TFTP服务器，配合TFTP命令将文件拷贝到TFTP服务器上，如果将show running的结果复制到word或文本文档上保存，是错误的，需要选手注意。

3、如题目有特殊要求，如：将配置过程截图，将协议效果截图等，按照题目要求进行截图，并生成word文件进行保存，在文件中需注意，要将每一张截图的注释写清楚，如：此图为安全加固的第一个任务等。

4、文件名称要求符合下表要求。

如有格式不符合，形式不符合一律进行相应扣分，如设备配置文件（startup-config）没有成功保存，此设备记零分。

将配置文件、测试结果文件放在学生机的桌面（或U盘）之中的名为“大赛-组号”的文件夹中。

示例：config三层交换机101-RS-starup-config测试结果文件（截图文件）参赛队编码-设备名称.doc第一台防火墙101-FWA.doc第二台防火墙101-FWB.doc第一台路由器101-RA-测试文档.doc第二台路由器101-RB-测试文档.doc第三台路由器101-RC-测试文档.doc第一台二层交换机101-SWA-测试文档.doc第二台二层交换机101-SWA-测试文档.doc三层交换机101-RS-测试文档.doc入侵检测系统101-IDS.doc参赛队编码-系统加固.doc 101-系统加固.doc参赛队编码-扫描渗透.doc 101-扫描渗透.doc参赛队编码-攻防对战.doc 101-攻防对战.doc 参赛队编码-其它文档.doc 101-XXXX.doc105-FWA.doc105-系统加固.doc9、大赛组委会提供三台或四台PC机，其中一台为堡垒服务器用PC机（SMC服务器），其余为选手操作机。

1、根据网络拓扑图所示，按照IP地址参数表，对WAF的名称、各接口IP地址进行配置。

（5分）1分截图含主机名称：任意字符串2分截图含模式选择：透明模式2分截图含IP地址：匹配参数表WAF IP地址子网掩码2、根据网络拓扑图所示，按照IP地址参数表，对DCRS的名称、各接口IP地址进行配置。

（5分）截图含以下配置信息：hostname DCRS 0.5分interface Vlan2ip address 192.168.253.28 255.255.255.224（匹配参数表） 0.5分interface Vlan10ip address 192.168.1.254 255.255.255.0（匹配参数表） 1分interface Vlan20ip address 192.168.254.120 255.255.255.128（匹配参数表）1分interface Vlan30ip address 192.168.255.118 255.255.255.128（匹配参数表）1分interface Vlan110ip address 192.168.249.100 255.255.255.128（匹配参数表）1分3、根据网络拓扑图所示，按照IP地址参数表，对DCFW的名称、各接口IP地址进行配置。

（5分）2分截图含主机名称信息；3分截图含除192.168.1.1的2个接口IP地址/前缀长度（匹配参数表）4、根据网络拓扑图所示，按照IP地址参数表，对DCFS的各接口IP地址进行配置。

（5分）截图含除192.168.1.254的1个IP地址/前缀长度（匹配参数表）5、根据网络拓扑图所示，按照IP地址参数表，对NETLOG的名称、各接口IP地址进行配置。

（5分）2分截图含主机名称信息；3分截图含如下信息：IP地址0.0.0.0 子网掩码0.0.0.06、根据网络拓扑图所示，按照IP地址参数表，在DCRS交换机上创建相应的VLAN，并将相应接口划入VLAN。

2016下半年信息安全工程师考试真题一、单项选择1、以下有关信息安全管理员职责的叙述，不正确的是（）A、信息安全管理员应该对网络的总体安全布局进行规划B、信息安全管理员应该对信息系统安全事件进行处理C、信息安全管理员应该负责为用户编写安全应用程序D、信息安全管理员应该对安全设备进行优化配置2、国家密码管理局于2006年发布了“无线局域网产品须使用的系列密码算法”，其中规定密钥协商算法应使用的是（）A、DHB、ECDSAC、ECDHD、CPK3、以下网络攻击中，（）属于被动攻击A、拒绝服务攻击B、重放C、假冒D、流量分析4、（）不属于对称加密算法A、IDEAB、DESC、RCSD、RSA5、面向身份信息的认证应用中，最常用的认证方法是（）A、基于数据库的认证B、基于摘要算法认证C、基于PKI认证D、基于账户名/口令认证6、如果发送方使用的加密密钥和接收方使用的解密密钥不相同，从其中一个密钥难以推出另一个密钥，这样的系统称为（）A、公钥加密系统B、单密钥加密系统C、对称加密系统D、常规加密系统7、S/Key口令是一种一次性口令生产方案，它可以对抗（）A、恶意代码木马攻击B、拒绝服务攻击C、协议分析攻击D、重放攻击8、防火墙作为一种被广泛使用的网络安全防御技术，其自身有一些限制，它不能阻止（）A、内部威胁和病毒威胁B、外部攻击C、外部攻击、外部威胁和病毒威胁D、外部攻击和外部威胁9、以下行为中，不属于威胁计算机网络安全的因素是（）A、操作员安全配置不当而造成的安全漏洞B、在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息C、安装非正版软件D、安装蜜罐系统10、电子商务系统除了面临一般的信息系统所涉及的安全威胁之外，更容易成为黑客分子的攻击目标，其安全性需求普遍高于一般的信息系统，电子商务系统中的信息安全需求不包括（）A、交易的真实性B、交易的保密性和完整性C、交易的可撤销性D、交易的不可抵赖性11、以下关于认证技术的叙述中，错误的是（）A、指纹识别技术的利用可以分为验证和识别B、数字签名是十六进制的字符串C、身份认证是用来对信息系统中实体的合法性进行验证的方法D、消息认证能够确定接收方收到的消息是否被篡改过12、有一种原则是对信息进行均衡、全面的防护，提高整个系统的安全性能，该原则称为（）A、动态化原则B、木桶原则C、等级性原则D、整体原则13、在以下网络威胁中，（）不属于信息泄露A、数据窃听B、流量分析C、偷窃用户账户D、暴力破解14、未授权的实体得到了数据的访问权，这属于对安全的（）A、机密性B、完整性C、合法性D、可用性15、按照密码系统对明文的处理方法，密码系统可以分为（）A、置换密码系统和易位密码B、密码学系统和密码分析学系统C、对称密码系统和非对称密码系统D、分级密码系统和序列密码系统16、数字签名最常见的实现方法是建立在（）的组合基础之上A、公钥密码体制和对称密码体制B、对称密码体制和MD5摘要算法17、以下选项中，不属于生物识别方法的是（）A、指纹识别B、声音识别C、虹膜识别D、个人标记号识别18、计算机取证是将计算机调查和分析技术应用于对潜在的、有法律效应的确定和提取。

“信息安全技术应用”赛项竞赛试题（样题）“信息安全技术应用”赛项专家组目录一、竞赛内容及评分标准1.1竞赛内容及评分本次竞赛内容分为四个部分，每个部分的考试要求及评分标准如下：第一部分：网络基础连接与配置部分（占30%）竞赛内容包括：按照组委会提供的网络拓扑图（见附件一）及IP地址规划（见附件二）所有网络设备网线连接，基本配置，实现网络互联；第二部分：网络信息安全部分（占55%）竞赛内容包括：网络安全控制，系统加固、渗透测试及网络攻防；第三部分：文档部分（占10%）竞赛内容包括：按照相关文档规范制作本次竞赛的施工文档，放置在指定目录；第四部分：团队风貌（占5%）竞赛内容包括：团队风貌、团队协作与沟通、组织与管理能力和工作计划性等。

1.2评分方法竞赛评分严格按照公平、公正、公开的原则，评分方法如下：●参赛队成绩由裁判委员会统一评定；●采取分步得分、错误不传递、累计总分的积分方式，分别计算环节得分，不计参赛选手个人得分；●在竞赛过程中，参赛选手如有不服从裁判判决、扰乱赛场秩序、舞弊等不文明行为的，由裁判长按照规定扣减相应分数，情节严重的取消比赛资格，比赛成绩记0分；竞赛评分细则按照本竞赛规程在竞赛开始7天之前由执行委员会制定。

二、具体竞赛要求竞赛范围分为三个阶段进行：阶段序号步骤第一阶段：网络与安全部署1 网络环境搭建2 网络安全部署3 系统加固第二阶段：场内攻防对抗 4 场内分组攻防第三阶段：场外攻防对抗 5 防守场外渗透测试2.1 第一阶段：网络与安全部署2.1.1 网络环境搭建和网络安全部署拓扑图（见附件一），IP地址规划（见附件二）及竞赛要求说明如下：场景描述：某公司通过防火墙与互联网相连，为保证公司内部网络和互联网络之间能够相互通信，要求完成一系列安全方面措施，现进行网络的搭建与配置。

技术要求：1.根据拓扑图正确连接设备。

2.根据大赛规划设置IP地址与VLAN等基本信息。

3.由RA-RB-RC-FWA组成外网，FWB-RS-SWA-SWB组成内网。

信息系统安全评测与风险评估试题## 分数GB/T19716-2005GB/T20269 信息系统安全管理要求GB/T20270 网络基础安全技术要求GB/T20271 信息系统通用安全技术要求资产赋值风险赋值一：填空题〔36分〕1.信息安全评测实际上蕴含着丰富的思想内涵,严肃的〔〕,严谨的〔〕,严格的〔〕以与极具魅力的评测技巧,是一个科学和艺术圆满结合的领域.2.在评测一个信息系统的数据安全时,国家标准要求从数据完整性,数据〔##性〕和数据的〔备份〕与恢复三个环节来考虑.3.资产分类的方法较多,大体归纳为2种,一种是"自然形态",即按照系统组成成分和服务内容来分类,如分成"数据,软件〔硬件〕,服务〔人员〕,其他"六大类,还可以按照"信息形态"将资产分为"信息,〔信息载体〕和〔信息环境〕三大类.4.资产识别包括资产分类和〔资产赋值〕两个环节.5.威胁的识别可以分为重点识别和〔全面识别〕6．脆弱性识别分为脆弱性发现〔脆弱性分类〕脆弱性验证和〔脆弱性赋值〕7.风险的三个要素是资产〔脆弱性〕和〔威胁〕8.应急响应计划应包含准则,〔〕预防和预警机制〔〕〔〕和附件6个基本要素.9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、##原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统与由其处理、传输和存储的信息的##性、完整性和可用性等安全属性进行评价的过程,它要评估资产面临的威胁以与威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉与的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二：问答题：〔64分〕1.什么是安全域？目前中国划分安全域的方法大致有哪些？〔10分〕1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起.目前,中国划分安全域的方法大致归纳有资产价值相似性安全域,业务应用相似性安全域,安全需求相似性安全域和安全威胁相似性安全域.2.数据安全评测是主要应用哪三种方法进行评测？你如何理解？〔10分〕国家标准中要求信息安全评测工程师使用访谈、检查、测试三种方法进行测评访谈：指测评人员通过与信息系统有关人员进行交流,讨论等活动,获取证据以证明信息系统安全等级保护措施是否有效的一种方法检查：指测评人员通过对测评对对象进行观察,检查和分析等活动,获取证据证明信息系统安全等级保护措施是否有效的一种方法测试：指测评人员通过对测评对象按照预定的方法/工具使其产生特定的行为等活动,然后查看,分析输出结果,获取证据以证明信息系统安全等级保护措施是否有效的一种访求3.国家标准中把主机评测分为哪八个环节？你如何理解？〔10分〕身份鉴别自主访问控制强制访问控制安全审计剩于信息保护入侵防范恶意代码防范4.什么是资产和资产价值？什么是威胁和威胁识别？什么是脆弱性？〔14分〕资产是对组织具有价值的信息或资源,是安全策略保护的对象资产价值是资产的重要程度或敏感程度的表征.资产价值是资产的属性,也是进行资产识别的租用内容.威胁指可能导致对系统或组织危害的事故潜在的起因.脆弱性指可能被威胁利用的资产或若干资产的薄弱环节.脆弱性识别,指分析和度量可能被威胁利用的资产薄弱环节的过5.什么是风险评估？如何进行风险计算？〔20分〕2.风险评估指,依照国家有关标准对信息系统与由其处理,传输和存储的信息的##性,完整性和可用性等安全属性进行分析和评价的过程.它要分析资产面临的威胁与威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉与的资产价值来判断安全事件一但发生对组织造成的影响.风险计算的形式化表示为：风险值=R<A,T,V>=R<L<T,V>,F<Ia,Va>>R表示风险计算函数T表示威胁V表示脆弱性计算事件发生的可能性=L〔威胁出现的频率,脆弱性〕=L <T,V> 安全事件造成的损失=F <资产价值,脆弱性严重程度>=F<Ia,Va> 风评考试1.信息安全：是指信息网络的硬件、软件与其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常运行,信息服务不中断.信息安全的属性,##性、完整性、可用性、〔CIA〕可控性、不可否认性2.信息安全管理：是其于风险的信息安全管理,即始终以风险为主线进行信息安全的管理3.BS7799已成为国际公认的信息安全管理权威标准.4.在AS/NZS 4360:1999中风险管理分为建立环境、风险识别、风险分析、风险评估、风险处置5个基本步聚和风险沟通和咨询、监控和评审2个附加环节5.信息安全管理体系〔ISMS〕采取了一种叫做PDCA的管理模式,请简述其内容答：PDCA是一种循环过程,所以我们通常把它叫做PDCA循环,并把这个循环图叫做"戴明环"6.简述确定ISMS的范围和边界时需要考虑的方面？答：根据公司所从事的业务、性质、办公地点、各种信息资产、拥有技术的特点确定信息安全管理体系的范围7.列举ISMS的11个控制领域？答：信息方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统安全要求、信息安全事件管理、业务连续性管理、符合性8、信息安全管理体系文件的层次？答：手册、程序文件、作业指导书、记录9、建立信息安全方针应考虑哪些方面？答：根据业务、组织、位置、资产和技术等方面的特性和信息安全在公司业务中的重要程度确定信息安全管理体系的方针10、风险管理包括哪些过程？答：资产识别与做人、威胁评估、脆弱性评估、对现有安全控制的识别、风险评价、风险处理、残余风险、风险控制11、风险处置措施有哪些？答：规避风险,采取有效的控制措施避免风险的发生接受风险,在一定程度上有意识、有目的地接受风险风险转移,转移相关业务风险到其他方面12、信息安全具有哪几种性质？答：脆弱性、连续性、可靠性、威胁性13、资产有哪些类别？答：物理资产、人员资产、软件资产、文件资产、服务资产、形象资产14、实施风险评估需要哪些步骤？答：资产识别与估价、威胁评估、脆弱性评估、对现有安全控制的识别、风险评价、风险处理、残余风险、风险控制15、资产赋值应包含哪几个方面的赋值？答：##性、完整性、可用性16、资产各个等级分值如何划分？资产评价准则是什么？答：等级标识描述5 很高非常重要,其属性破坏后可能对组织造成非常严重的损失4 高重要,其安全属性破坏后可能对组织造成比较严重的损失3 高比较重要,其安全属性破坏后可能对组织造成中等程度的损失2 低不太重要,其安全属性破坏后可能对组织造成较低的损失1 很低不重要,其安全属性破坏后对组织造成很小的损失,甚至忽略不计17、脆弱性的有哪些类型？识别脆弱性时主要应关注哪些对象？并列举答：技术脆弱性、管理脆弱性物理环境从机房场地、机房防火、机房配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户##、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信鉴别机制、密码保护等方面进行识别技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别18、出几个关于资产脆弱性例子答：设备维护措施不完善、物理访问控制不健全、口令不当、权限分配不合理19、资产值和风险值的计算函数各是什么？其中各个字母的含义是什么？资产值计算方式资产值为 A ##性为c<Confidentiality> 完整性为i<Integrity> 可用性为a<Possibility>A=c+i+a风险值计算威胁频率=T 脆弱性严重度=V 则安全事件发生可能性F=根号<T*V>安全事件的损失L=根号<A*V>风险值R=L*F20、风险管理分为建立环境、风险识别、风险分析、风险评价、风险处置5个基本步骤和风险沟通和咨询、监控和评审2个附加环节21、GB/T19715.1——《信息技术安全管理指南第一部分：信息技术安全概念和模型》〔ISO/IEC 13335-1:1996〕GB/T19715.2——《信息技术安全管理指南第二部分：管理和规划信息技术安全》〔ISO/IEC 13335-1:1996〕22、GB/T19716-2005 《信息安全管理实用规则》〔ISO/IEC17799:2000〕23、BS7799信息安全管理标准是一在国际上得到广泛重视的标准。

信息安全管理与评估技能大赛赛题1. 介绍赛题在信息安全领域，信息安全管理与评估技能大赛一直是备受关注的赛事之一。

该赛事旨在检验参赛选手在信息安全管理、信息安全评估等方面的技能和实践能力，通过解决赛题来提高对信息安全管理与评估的理解和实际操作能力。

2. 赛题内容与要求赛题往往涉及信息安全管理与评估的各个方面，包括但不限于：•组织信息安全管理体系的构建与运行•风险评估与风险管理•安全策略与安全控制•合规性评估与合规性管理•安全意识教育与培训•事件应急响应与处理•安全制度与流程的优化与改进选手需根据赛题要求，结合相关理论和实践知识，提出合理的解决方案并进行实施，同时要求对解决方案进行全面评估和总结。

3. 深度评估3.1 组织信息安全管理体系的构建与运行在赛题中，可能会涉及到如何构建一个完整的信息安全管理体系，包括信息资产管理、风险管理、安全策略与流程等内容。

选手需要深入分析各项管理制度的设立与实施，以及在具体情境下的应用。

3.2 风险评估与风险管理风险评估与风险管理是信息安全管理的重要组成部分，选手需要深度评估在赛题所涉及的风险评估与风险管理方法与实践，包括风险识别、风险分析、风险评估、风险应对等方面。

3.3 安全意识教育与培训在信息安全管理中，安全意识教育与培训是至关重要的环节。

选手需要深入挖掘赛题中安全意识教育与培训的内容与技巧，提出针对性的解决方案。

4. 广度评估4.1 安全策略与安全控制安全策略与安全控制是信息安全管理与评估的核心内容之一，选手需要全面评估赛题中安全策略与安全控制的合理性与有效性，同时考虑其在实际环境中的落地与推广。

4.2 事件应急响应与处理在实际运营中，安全事件的应急响应与处理显得至关重要。

赛题中可能涉及到不同类型的安全事件，选手需要对应急响应与处理的方法与流程进行全面评估。

5. 结论与观点在信息安全管理与评估技能大赛赛题中，深度评估与广度评估同样重要。

只有在深入理解赛题内容、结合实际情境进行全面评估的基础上，选手才能提出更为全面、深刻的解决方案并进行有效实施。

任务1：SQL注入攻防（55分）1.Web访问DCST中的WebServ2003服务器，进入login.php页面，分析该页面源程序，找到提交的变量名，并截图；（5分）找到源程序：（2分）页面标题：<title>Login Page</title>找到提交的变量名（3分）提供以下变量：name="usernm"name="passwd"2.对该任务题目1页面注入点进行SQL注入渗透测试，使该Web站点可通过任意用户名登录，并将测试过程截图；（5分）构造注入语句：username：任意用户名password：含：or X=’X（X为任意值）（3分）同时包含截图：1、通过任意用户名登录（截图）2、登录成功页面（截图）（2分）3.进入DCST中的WebServ2003服务器的C:\AppServ\www目录，找到loginAuth.php程序，使用EditPlus工具分析并修改PHP 源程序，使之可以抵御SQL注入，并将修改后的PHP源程序截图；（10分）（10分）包含语句：1、select password from users where username=’$username’2、if($obj->password==$password)4.再次对该任务题目1页面注入点进行渗透测试，验证此次利用该注入点对该DCST中的WebServ2003服务器进行SQL注入渗透测试无效，并将验证过程截图；（5分）同时包含截图：1、通过任意用户名登录（截图）2、登陆后，页面出现用户名不存在提示；（截图）（5分）5.Web继续访问DCST中的WebServ2003服务器，"/"->"EmployeeInformation Query"，分析该页面源程序，找到提交的变量名，并截图；（5分）找到源程序：（2分）找到的源程序含有页面标题：<title>Query</title>找到提交的变量名（3分）name="usernm"6.对该任务题目5页面注入点进行渗透测试，根据输入“%”以及“_”的返回结果确定是注入点，并将测试过程截图；（5分）（2分）输入“%”，返回所有用户信息（截图）输入“_”，返回所有用户信息（截图）（3分）7.通过对该任务题目5页面注入点进行SQL注入渗透测试，删除DCST中的WebServ2003服务器的C:\目录下的1.txt文档，并将注入代码及测试过程截图；（5分）构造注入语句：‘exec ‘del c:\1.txt’--（5分）8.进入DCST中的WebServ2003服务器的C:\AppServ\www目录，找到QueryCtrl.php程序，使用EditPlus工具分析并修改PHP 源程序，使之可以抵御SQL注入渗透测试，并将修改后的PHP 源程序截图；（10分）截图：在服务器场景QueryCtrl.php源程序语句：$keyWord=$_REQUEST[‘usernm’]之后加入：（10分）9.再次对该任务题目5页面注入点进行渗透测试，验证此次利用注入点对该WebServer进行SQL注入渗透测试无效，并将验证过程截图。

信息安全大赛测验试卷（一）试卷信息安全大赛测验试卷(一)(满分125分，考试时间：40分钟)一、单选题(每小题2分，共50分)1. IP 地址132.119.100.200 的子网掩码是255.255.255.240，哪么它所在子网的广播地址是( )。

A. 132.119.100.207B. 132.119.100.255C. 132.119.100.193D. 132.119.100.2232. 在运行了RIP 的MSR 路由器上看到如下路由信息：display ip routing-table 6.6.6.6Routing Table : PublicSummary Count : 2Destination/Mask Proto Pre Cost NextHop Interface6.6.6.0/24 RIP 100 1 100.1.1.1 GE0/06.0.0.0/8 Static 60 0 100.1.1.1 GE0/0此时路由器收到一个目的地址为6.6.6.6 的数据包，那么( )。

A. 该数据包将优先匹配路由表中的RIP 路由，因为其掩码最长B. 该数据包将优先匹配路由表中RIP 路由，因为其优先级高C. 该数据包将优先匹配路由表中的静态路由，因为其花费Cost 小D. 该数据包将优先匹配路由表中的静态路由，因为其掩码最短3. 下面关于OSI 参考模型的说法正确的是。

（）A. 传输层的数据称为帧（Frame）B. 网络层的数据称为段（Segment）C. 数据链路层的数据称为数据包（Packet）D. 物理层的数据称为比特（Bit）4. 802.11b 协议在2.4GHz 频段定义了14 个信道，相邻的信道之间在频谱上存在交叠。

为了最大程度地利用频段资源，可以使用如下哪组信道来进行无线覆盖？（）A. 1、5、9B. 1、6、11C. 2、6、10D. 3、6、95. ping 实际上是基于( )协议开发的应用程序。

2016信息安全管理与评估赛题与评分标准第一阶段任务二答案及评分标准1.在公司总部的DCFW上配置，连接互联网的接口属于WAN安全域、连接内网的接口属于LAN安全域。

（6分）（6分）1、接口IP地址（连接PC2：匹配参数表、连接DCFS：匹配参数表）2、接口安全域（连接PC2：WAN、连接DCFS：WAN）3、接口是否外网（连接PC2：否、连接DCFS：否）4、接口状态（连接PC2：绿色、连接DCFS：绿色）2.在公司总部的DCFW上配置，开启DCFW针对以下攻击的防护功能：ICMP洪水攻击防护、UDP洪水攻击防护、SYN洪水攻击防护、WinNuke攻击防护、IP地址欺骗攻击防护、IP地址扫描攻击防护、端口扫描防护、Ping of Death攻击防护、Teardrop攻击防护、IP分片防护、IP选项、Smurf或者Fraggle攻击防护、Land攻击防护、ICMP大包攻击防护、TCP选项异常、DNS查询洪水攻击防护、DNS递归查询洪水攻击防护。

（6分）（3分）安全域LAN：全部启用打勾；行为：丢弃（3分）安全域WAN：全部启用打勾；行为：丢弃3.在公司总部的DCFW上新增2个用户，用户1（用户名：User1；密码：User.1）：只拥有配置查看权限，不能进行任何的配置添加与修改，删除。

用户2（用户名：User2；密码：User.2）：拥有所有的查看权限，拥有除“用户升级、应用特征库升级、重启设备、配置日志”模块以外的所有模块的配置添加与修改，删除权限。

（6分）（3分）User1：大小写区分类型：审计管理员登录方式：全部打勾（3分）User2：大小写区分类型：配置管理员登录方式：全部打勾4.在公司总部的DCFW上配置，内网可以访问互联网任何服务，互联网不可以访问内网。

（6分）从LAN到WAN源地址、目的地址：AnyProfile：选Default；应用：Any缺省行为：拒绝5.在公司总部的DCFW上配置网页内容过滤：内网用户不能访问互联网网站：；（6分）（3分）规则集：Default（URL过滤：启用）（3分）网页内容过滤：选择黑名单、黑名单列表：、勾选只允许通过域名访问；6.在公司总部的DCFW上配置，使公司总部的DCST服务器可以通过互联网被访问，从互联网访问的地址是公网地址的第三个可用地址（公网IP地址段参考“赛场IP参数表”），且仅允许PC-2通过互联网访问DCST设备。

“信息安全管理与评估”测试题二第一部分网络组建与安全策略部署(40分)项目背景：上图右侧为某公司漳州办事处网络，使用DCRS作为核心交换机，DCSA和DCSB为接入交换机，通过DCFWA接入公司办公网，为保证漳州办事处服务器DCST的机密性和完整性，部署IDS进行保护，形成办事处局域网。

上图左侧DCRA、DCRB与FCFWB组成公司内部网的广域网部分。

1.项目拓扑图中DCRS的11-19接口与DCST的0-4接口已经连接完毕，不需要参赛选手进行连接，比赛途中不得对其进行改动，不得使DCST重启、关机、断电，否则扣除考试50%分值。

注意1：参赛机的网线及COM口延长线已经放置好，DCRS到DCST的网线已经布好，其他所需网线自制。

注意2：第一部分提交所有设备配置文件，并存放到“提交专用U盘”中的“第一部分网络设备配置文件”目录下。

2.IP地址规划DCRA 1接口192.X.0.1/24 2接口192.X.1.1/24DCRB 1接口192.X.2.1/24 2接口192.X.3.1/24（3）对DCFWB进行配置，使得当PCA访问PCB时，需通过DCFWB-DCRA-DCFWA这条线路，当PCA想要访问PCC时，需通过DCFWB-DCRB-DCFWA这条线路。

(5分)（4）全网运行OSPF动态路由协议，DCFWB、DCFWA、DCRA、DCRB组成的网络属于区域1，DCFWA、DCRS组成的网络属于区域0。

(5分) （5）为了防止在网路中出现环路，在DCSA、DCSB、DCRS之间运行单实例生成树。

(3分)（6）为了保证网络内的安全，需要将PCB与PCC的MAC地址与IP地址绑定到DCSA与DCSB上，使用AM技术。

(3分)（7）在上午9:00至下午6:00之间，不允许PCC访问PCA，在DCRS上采用访问控制列表技术。

(3分)（8） PCB在上班期间不允许登陆QQ，需要在防火墙上设置。

(3分)（9）将核心交换机DCRS所有的端口镜像到IDS所连接的5号端口，IDS 的管理接口连接到DCRS的1口，并正确安装IDS，使用PCC管理IDS，监听网络内所有TCP数据，形成风险评估柱状图。